Citrix SD-WAN

GREトンネルとIPsecトンネルを使用したZscaler統合

Zscaler Cloud Security Platformは、世界中の100以上のデータセンターで一連のセキュリティチェックの投稿として機能します。インターネットトラフィックをZscalerにリダイレクトするだけで、店舗、支店、遠隔地をすぐに保護できます。Zscalerはユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、トラフィックのすべてのバイトを検査します。

Citrix SD-WANアプライアンスは、お客様のサイトのGREトンネルを介してZScalerクラウドネットワークに接続できます。SD-WANアプライアンスを使用したZscalerの展開では、次の機能がサポートされています。

  • すべてのGREトラフィックをZscalerに転送することで、直接インターネットブレイクアウトが可能になります。
  • 顧客サイトごとにZscalerを使用した直接インターネットアクセス(DIA)。
    • 一部のサイトでは、DIAにオンプレミスのセキュリティ機器を提供し、Zscalerを使用しない場合があります。
    • 一部のサイトでは、インターネットアクセス用に別の顧客サイトへのトラフィックのバックホールを選択する場合があります。
  • 仮想ルーティングと転送の展開。
  • インターネットサービスの一部としての1つのWANリンク。

Zscalerはクラウドサービスです。サービスとして設定し、基になるWANリンクを定義する必要があります。

  • データセンターでインターネットサービスを設定し、GRE 経由でブランチします。
  • 信頼できるパブリックインターネットリンクを、データセンターおよびブランチサイトで構成します。

トポロジ

ローカライズされた画像

ローカライズされた画像

GRE トンネルまたは IPsec トンネルトラフィック転送を使用するには、次の手順を実行します。

  1. Zscalerヘルプポータルにログインします https://help.zscaler.com/submit-ticket

  2. チケットを発行し、GRE トンネルまたは IPsec トンネルの送信元 IP アドレスとして使用する静的パブリック IP アドレスを指定します。

Zscaler は、送信元 IP アドレスを使用してカスタマーの IP アドレスを識別します。送信元 IP はスタティックパブリック IP である必要があります。ZScalerは、トラフィックを送信する2つのZEN IPアドレス(プライマリとセカンダリ)で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。

Zscaler は、送信元 IP アドレス値を使用してカスタマーの IP アドレスを識別します。この値は、静的なパブリック IP アドレスである必要があります。ZScalerは、トラフィックをリダイレクト[ する2つのZEN IPアドレス ]DR1で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。

サンプル IP アドレス

プライマリ

内部ルータIPアドレス:172.17.6.241/30 内部ZEN IPアドレス:172.17.6.242/30

セカンダリ

内部ルータIPアドレス:172.17.6.245/30 内部ZEN IPアドレス:172.17.6.246/30

インターネットサービスの設定

インターネットサービスを構成するには、次の操作を行います。

  1. [ 接続]- [ インターネットサービス] に移動します。インターネットサービスを構成します。

ローカライズされた画像

ローカライズされた画像

ローカライズされた画像

GRE トンネルの設定

  1. 送信元 IP アドレスは、トンネルの送信元 IP アドレスです。トンネル送信元 IP アドレスが NATted の場合、別の中間デバイスで NATted されている場合でも、パブリック送信元 IP アドレスはパブリックトンネル送信元 IP アドレスになります。

  2. 宛先IPアドレスは、ZScalerが提供するZEN IPアドレスです。

  3. 元のペイロードがカプセル化されている場合、送信元 IP アドレスと宛先 IP アドレスはルータ GRE ヘッダーです。

  4. トンネル IP アドレスおよびプレフィックスは、GRE トンネル自体の IP アドレッシングです。これは、GRE トンネル経由でトラフィックをルーティングする場合に便利です。trafic は、この IP アドレスをGateway アドレスとして必要とします。

ローカライズされた画像

GRE トンネルを設定するには、次の手順を実行します。

  1. 設定エディタで、[ **接続] > [ **サイト] > [ GRE トンネル] に移動し、インターネットプレフィックスサービスを Zscaler GRE トンネルに転送するルートを設定します。

送信元 IP アドレスは、信頼できるリンクの仮想ネットワークインターフェイスからのみ選択できます。「GRE トンネルの設定 方法」を参照してください

ローカライズされた画像

GRE トンネルのルートの設定

インターネットプレフィックスサービスを Zscaler GRE トンネルに転送するルートを設定します。

  • ZEN IP アドレス(トンネルの宛先 IP、上の図の 104.129.194.38)は、サービスタイプインターネットに設定する必要があります。これは、Zscaler宛てのトラフィックがインターネットサービスから計上されるようにするために必要です。
  • Zscaler 宛てのすべてのトラフィックは、デフォルトルート 0/0 と一致し、GRE トンネルを介して送信する必要があります。GRE トンネルの [DR1] に使用される 0/0 ルートのコストが、パススルーまたはその他のサービスタイプよりも低いことを確認します。
  • 同様に、Zscaler へのバックアップ GRE トンネルのコストは、プライマリ GRE トンネルのコストよりも高い必要があります。
  • ZEN IP アドレスの非再帰ルートが存在することを確認します。

GRE トンネルのルートを設定するには、次の手順を実行します。

  1. [ 接続 ] > [ サイト ] > [ ルート] に移動し、ルートの作成手順については、「ルートの 設定」で説明されている手順に従います。

ローカライズされた画像

Zscaler IP アドレスに特定のルートがない場合は、ZEN IP アドレスと一致するようにルートプレフィクス 0.0.0.0/0 を設定し、GRE トンネルのカプセル化ループを介してルーティングします。この設定では、アクティブバックアップモードでトンネルを使用します。上の図に示す値を使用すると、トラフィックはGateway IP アドレス 172.17.6.242 のトンネルに自動的に切り替わります。必要に応じて、バックホール仮想パスルートを設定します。それ以外の場合は、バックアップトンネルのキープアライブ間隔をゼロに設定します。これにより、Zscalerへのトンネルが両方とも失敗しても、サイトへの安全なインターネットアクセスを可能にします。

GRE キープアライブメッセージがサポートされています。GREソースアドレスのNATアドレスを提供する パブリックソースIP という新しいフィールドがCitrix SD-WAN GUIインターフェイスに追加されます(SD-WANアプライアンスのトンネルソースが中間デバイスによってNAT変換されている場合)。Citrix SD-WAN GUIには、パブリックソースIPというフィールドが含まれています。このフィールドには、Citrix SD-WANアプライアンスのトンネルソースが中間デバイスによってNAT変換されたときに、GREソースアドレスのNATアドレスを提供します。

制限事項

  • 複数の VRF 配置はサポートされていません。
  • プライマリバックアップ GRE トンネルは、高可用性設計モードでのみサポートされます。

IPSec トンネルを構成する

ローカライズされた画像

Citrix SD-WANアプライアンスGUIでイントラネットまたはLANサービス用のIPsecトンネルを構成するには、以下の手順に従ってください。

  1. 構成エディタで、[ **接続] > [< サイト名 >] >[IPsec **トンネル] に移動し、 サービスの種類 (LAN またはイントラネット) を選択します。

  2. サービス・タイプの「名前」を入力します。イントラネットサービスの種類では、構成されたイントラネットサーバーによって、使用できるローカル IP アドレスが決まります。

  3. 使用可能なローカル IP アドレスを選択し、リモートピアへの仮想パスのピア IP アドレスを入力します。

ローカライズされた画像

ローカライズされた画像

  1. [ IKE 設定] で [ IKEv1 ] を選択しますZscalerはIKEv1のみをサポートしています。

ローカライズされた画像

  1. [IPsec 設定] で、[ トンネルの種類] に [ **ESP-NULL ] を選択し**、IPsec トンネルを介してトラフィックを ZScaler にリダイレクトしますIPsec トンネルはトラフィックを暗号化しません。

ローカライズされた画像

  1. インターネットトラフィックはリダイレクトされるため、宛先 IP/プレフィックスには任意の IP アドレスを使用できます。

ローカライズされた画像

Citrix SD-WAN Webインターフェイスを使用してIPsecトンネルの構成の詳細については、「 IPsecトンネルの トピック」を参照してください。

IPsec トンネルのルートの設定

IPSec ルートを設定するには、次の手順を実行します。

  1. [ 接続 ] > [ DC ] > [ ルート] に移動し、ルートの 作成手順については、「ルートの 設定」で説明されている手順に従います。

ローカライズされた画像

GRE および IPsec トンネルの統計情報をモニタするには、

SD-WAN Web インターフェイスで、[ 監視 ] > [ 統計] > [ **GRE トンネル[ ]** [ IPSec トンネル] に移動します]。

詳細については、「IPsec トンネルおよびGRE トンネルの モニタリング」 トピックを参照してください。

GREトンネルとIPsecトンネルを使用したZscaler統合